Infecté par Simda.AF cheval de troie
Résolu
KSpecial
Messages postés
34
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour à tous,
Tout est dans le titre, et plus en détails:
Dernièrement (probablement suite à l'exécution d'un .exe) j'ai due infecter mon pc...
J'avais plus d'antivirus bien sure, du moins un antivirus plus à jours depuis 3 ans (VirusKeeper)...
Les symptômes comme ceux décrits sur le net pour ce cheval de troie:
- Au bout d'un certain temps après chaque démarrage du pc les moteur de recherche sur le net ne marche plus, je n'arrive pas sur la page "Google, Bing etc..)
- La RAM se remplit au fur et à mesures que je lance des programmes ou navigue sur le net mais se vide rarement, et donc atteint le max et fait planter mon PC (écran bleu)
- Perte de performance sur le pc en général et sur la navigation internet.
- Et je ne peux plus clicker sur des liens qui apparaissent sur une petite partie en bas à gauche de l'écran où que je soit sur le net.... pourtant rien d'apparent à l'écran. BIZARRE
J'installe NOD32 et lance des scan, détecte rien de méchant. Mais finit par le détecte tout seul sans scan lancé de ma part (surveillance active):
Il m'affiche donc:
-------------------------------------------------------------------------------------------------------
Alerte
Menace détectée
Objet: C:\WINDOWS\SYSTEME32\DRIVERS\WD01000.SYS
Menace: Win32/Simda.AF cheval de troie
Un événement s'est produit pendant une tentative d'accès au fichier par l'application C:\WINDOWS\SYSTEME32\ svchost.eve
-------------------------------------------------------------------------------------------------------
Bien sure il n'arrive pas à la supprimer ou la mettre en quarantaine.
Le module ESET SysInspector (module de NOD32) indique le processus SMmSvcHost.exe à un niveau 7 (critique) également.
Un scan en mode sans échec avec NOD32 ne donne rien, idem pour Malwarebytes Anti-Malware.
Ceux sont les seuls que j'ai essayé en mode sans échec et sinon j'ai essayé:
- G DATA
- F SECURE
- ADW CLEANER
- SPYBOT SHEARCH & DESTROY
Sans succès.
Très peu de posts au sujet de ce Simda.AF sur le net et ici même un sujet, mais ca cause que de rapports à up... (dont je ne comprend totalement le but pour le moment). Je pensais qu'il existait des programmes pouvait faire l'affaire directement mais apparemment non.
Je vous sollicite donc pour m'aider à éradiquer ce foutu "virus" !
Un grand merci à ceux qui prendront la peine d'essayer car je n'ai pas très envie de formater mon pc.
Tout est dans le titre, et plus en détails:
Dernièrement (probablement suite à l'exécution d'un .exe) j'ai due infecter mon pc...
J'avais plus d'antivirus bien sure, du moins un antivirus plus à jours depuis 3 ans (VirusKeeper)...
Les symptômes comme ceux décrits sur le net pour ce cheval de troie:
- Au bout d'un certain temps après chaque démarrage du pc les moteur de recherche sur le net ne marche plus, je n'arrive pas sur la page "Google, Bing etc..)
- La RAM se remplit au fur et à mesures que je lance des programmes ou navigue sur le net mais se vide rarement, et donc atteint le max et fait planter mon PC (écran bleu)
- Perte de performance sur le pc en général et sur la navigation internet.
- Et je ne peux plus clicker sur des liens qui apparaissent sur une petite partie en bas à gauche de l'écran où que je soit sur le net.... pourtant rien d'apparent à l'écran. BIZARRE
J'installe NOD32 et lance des scan, détecte rien de méchant. Mais finit par le détecte tout seul sans scan lancé de ma part (surveillance active):
Il m'affiche donc:
-------------------------------------------------------------------------------------------------------
Alerte
Menace détectée
Objet: C:\WINDOWS\SYSTEME32\DRIVERS\WD01000.SYS
Menace: Win32/Simda.AF cheval de troie
Un événement s'est produit pendant une tentative d'accès au fichier par l'application C:\WINDOWS\SYSTEME32\ svchost.eve
-------------------------------------------------------------------------------------------------------
Bien sure il n'arrive pas à la supprimer ou la mettre en quarantaine.
Le module ESET SysInspector (module de NOD32) indique le processus SMmSvcHost.exe à un niveau 7 (critique) également.
Un scan en mode sans échec avec NOD32 ne donne rien, idem pour Malwarebytes Anti-Malware.
Ceux sont les seuls que j'ai essayé en mode sans échec et sinon j'ai essayé:
- G DATA
- F SECURE
- ADW CLEANER
- SPYBOT SHEARCH & DESTROY
Sans succès.
Très peu de posts au sujet de ce Simda.AF sur le net et ici même un sujet, mais ca cause que de rapports à up... (dont je ne comprend totalement le but pour le moment). Je pensais qu'il existait des programmes pouvait faire l'affaire directement mais apparemment non.
Je vous sollicite donc pour m'aider à éradiquer ce foutu "virus" !
Un grand merci à ceux qui prendront la peine d'essayer car je n'ai pas très envie de formater mon pc.
A voir également:
- Infecté par Simda.AF cheval de troie
- Comment supprimer cheval de troie gratuitement - Télécharger - Antivirus & Antimalwares
- Ordinateur bloqué cheval de troie - Accueil - Arnaque
- Cheval de troie virus - Accueil - Virus
- Jeux de petit chevaux gratuit à télécharger - Télécharger - Jeux vidéo
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment - Forum Windows
24 réponses
Salut,
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
puis :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout en faisant un clic droit / cocher tout
puis bouton supprimer sélection pour tout supprimer.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
puis :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout en faisant un clic droit / cocher tout
puis bouton supprimer sélection pour tout supprimer.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Salut,
Merci de répondre.
Dans un premier temps voici le liens du rapport de TDSSKiller : https://pjjoint.malekal.com/files.php?id=20130929_q11m14t7q8z10
(qui trouve comme NOD32 le WD01000.SYS infecté) ...
Merci de répondre.
Dans un premier temps voici le liens du rapport de TDSSKiller : https://pjjoint.malekal.com/files.php?id=20130929_q11m14t7q8z10
(qui trouve comme NOD32 le WD01000.SYS infecté) ...
Et voici le rapport de mbam:
Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.09.28.11
Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
KAM'S :: KAM-PC [administrateur]
Protection: Activé
29/09/2013 01:33:59
mbam-log-2013-09-29 (01-33-59).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 224561
Temps écoulé: 9 minute(s),
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.09.28.11
Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
KAM'S :: KAM-PC [administrateur]
Protection: Activé
29/09/2013 01:33:59
mbam-log-2013-09-29 (01-33-59).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 224561
Temps écoulé: 9 minute(s),
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Analyse de MBAR en cours actuellement, il a trouvé pour l'instant ce même fichier infecté (WD01000.SYS) par Simda.AF (rootkit).
Le problème c'est que en même temps NOD32 qui est toujours activé détecte C:\ProgrameData\Malwarebytes' Anti-Malware (portable)\Wdf01000.sys_k.mbam et prévoit en action "supprimé (après le prochain redémarrage) - mis en quarantaine".
Est ce que j'aurai du désactiver provisoirement NOD32? et refaire le scan?
Ou cela ne posera pas problème?
Autant le fichier original WD01000.SYS n'arrive pas être supprimé par NOD32 autant là il risque de réussir la suppression de celui qui est stocké par MBAR...
Analyse de MBAR en cours actuellement, il a trouvé pour l'instant ce même fichier infecté (WD01000.SYS) par Simda.AF (rootkit).
Le problème c'est que en même temps NOD32 qui est toujours activé détecte C:\ProgrameData\Malwarebytes' Anti-Malware (portable)\Wdf01000.sys_k.mbam et prévoit en action "supprimé (après le prochain redémarrage) - mis en quarantaine".
Est ce que j'aurai du désactiver provisoirement NOD32? et refaire le scan?
Ou cela ne posera pas problème?
Autant le fichier original WD01000.SYS n'arrive pas être supprimé par NOD32 autant là il risque de réussir la suppression de celui qui est stocké par MBAR...
Comme MBAR a finis son scan juste après mon post, j'ai quand même fait "clean up" et voici le rapport https://pjjoint.malekal.com/files.php?id=20130929_v14v11n5z5r11
Si je doit recommencer l'opération avec NOD32 désactivé comme tu viens de le dire, dit le moi et je recommencerais.
Si je doit recommencer l'opération avec NOD32 désactivé comme tu viens de le dire, dit le moi et je recommencerais.
ok,
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Replacement file found for a file C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
oui refais un scan MBAR avec NOD32 désactivé.
C'est juste pour vérifier qu'il l'a bien viré et qu'il ne détecte plus rien.
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Replacement file found for a file C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
oui refais un scan MBAR avec NOD32 désactivé.
C'est juste pour vérifier qu'il l'a bien viré et qu'il ne détecte plus rien.
Scan en cours :s :
Malware found: 1
C:\WINDOWS\SYSTEM32\drivers...
File C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys has been successfuly cured
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
Done!
Désinfecté puis infecté à nouveau??
Je re-post le rapport dès que finis.
Malware found: 1
C:\WINDOWS\SYSTEM32\drivers...
File C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys has been successfuly cured
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
Done!
Désinfecté puis infecté à nouveau??
Je re-post le rapport dès que finis.
Nouveau rapport:
https://pjjoint.malekal.com/files.php?id=20130929_y11o5n8t12g10
https://pjjoint.malekal.com/files.php?id=20130929_y11o5n8t12g10
Dans le premier rapport, y avait pas de cure.
Ca donne quoi si tu relances un scan?
Ca donne quoi si tu relances un scan?
Ca donne le petit passage que je donne dans le message d'avant:
C:\WINDOWS\SYSTEM32\drivers...
File C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys has been successfuly cured
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
Done!
.
Le rapport je le récupère moi même après le redémarrage (après le clean up) dans le dossier mbar. "system-log.txt"
NOD32 vient de reperer à nouveau l'infection tout seul à nouveau d'ailleur...
Au passage le reboot du pc se passe pas toujours bien "please select ...boot" blabla et obligé de reboot une 2ème fois, j'avais déja parfois ce cas avant hier/aujourd'hui.
C:\WINDOWS\SYSTEM32\drivers...
File C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys has been successfuly cured
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
Done!
.
Le rapport je le récupère moi même après le redémarrage (après le clean up) dans le dossier mbar. "system-log.txt"
NOD32 vient de reperer à nouveau l'infection tout seul à nouveau d'ailleur...
Au passage le reboot du pc se passe pas toujours bien "please select ...boot" blabla et obligé de reboot une 2ème fois, j'avais déja parfois ce cas avant hier/aujourd'hui.
ok,
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
Wdf01000.sys
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
Wdf01000.sys
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
C:\Users\KAM'S\Desktop\OTL.exe n'a pu être enregistré car vous ne pouvez changer le contenu de ce répertoire.
Changez les propriétés du répertoire et essayez à nouveau, ou essayez d'enregistrer ailleurs.
C'est Windows qui me bloque ça ou ce foutu "virus" ? Que doit je faire?
Changez les propriétés du répertoire et essayez à nouveau, ou essayez d'enregistrer ailleurs.
C'est Windows qui me bloque ça ou ce foutu "virus" ? Que doit je faire?
Liens des rapports:
OTL: https://pjjoint.malekal.com/files.php?id=20130929_p12t7m5n7v11
Extras: https://pjjoint.malekal.com/files.php?id=20130929_r13e8l13u15q10
OTL: https://pjjoint.malekal.com/files.php?id=20130929_p12t7m5n7v11
Extras: https://pjjoint.malekal.com/files.php?id=20130929_r13e8l13u15q10
bon les deux ont l'air pourri.
J'ai trouvé un pour Windows Seven, en espérant que ce soit bon.
Télécharge ça : http://upload.malekal.com/Malware/Wdf01000.zip
Décompresse le dans C:\
Donc tu dois avoir C:\Wdf01000.sys
Ensuite :
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
C:\Windows\System32\drivers\Wdf01000.sys|C:\Wdf01000.sys /replace
:Commands
[reboot]
* poste le rapport ici
Refais un scan OTL et donne le rapport.
J'ai trouvé un pour Windows Seven, en espérant que ce soit bon.
Télécharge ça : http://upload.malekal.com/Malware/Wdf01000.zip
Décompresse le dans C:\
Donc tu dois avoir C:\Wdf01000.sys
Ensuite :
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
C:\Windows\System32\drivers\Wdf01000.sys|C:\Wdf01000.sys /replace
:Commands
[reboot]
* poste le rapport ici
Refais un scan OTL et donne le rapport.
Je n'ai pas eu de rapport après avoir faire exécuté ta commande, juste un redémarrage nécessaire à l'application de celle-ci.
la copie ne s'est pas faite.
On va tenter avec The Avenger.
Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista [img]http://imagesup.org/image[/img]
Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:
begin copying here:
Files to move:
C:\Wdf01000.sys|C:\Windows\System32\drivers\Wdf01000.sys
C:\Wdf01000.sys|C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys
» Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt que tu postes et tu vois si ç'est mieux
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
On va tenter avec The Avenger.
Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista [img]http://imagesup.org/image[/img]
Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:
begin copying here:
Files to move:
C:\Wdf01000.sys|C:\Windows\System32\drivers\Wdf01000.sys
C:\Wdf01000.sys|C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys
» Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt que tu postes et tu vois si ç'est mieux
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not move file "C:\Wdf01000.sys"
File move operation "C:\Wdf01000.sys|C:\Windows\System32\drivers\Wdf01000.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Error: could not move file "C:\Wdf01000.sys"
File move operation "C:\Wdf01000.sys|C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Completed script processing.
*******************
Finished! Terminate.
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not move file "C:\Wdf01000.sys"
File move operation "C:\Wdf01000.sys|C:\Windows\System32\drivers\Wdf01000.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Error: could not move file "C:\Wdf01000.sys"
File move operation "C:\Wdf01000.sys|C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Completed script processing.
*******************
Finished! Terminate.
ok copie foirée.
Essaye de redémarrer l'ordinateur, après le premier écran, juste au changement d'écran qui conduit au chargement de Windows, tapte sur F8.
Tu dois avoir un menu avec invites de commandes en mode sans échec.
une fois en invite, tape ces commandes à valider par entrée :
copy C:\Wdf01000.sys C:\Windows\System32\drivers\Wdf01000.sys
copy C:\Wdf01000.sys C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys
Si ça te dit accès refusé, laisse tomber.
Utilise alors le Live CD : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
et démarre dessus, tu auras une icone mon ordinateur, qui te permet de copier le fichier C:\Wdf01000.sys vers C:\Windows\System32\drivers\Wdf01000.sys en écrasant celui existant (malicieux).
Meme chose, copier C:\Wdf01000.sys vers C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Essaye de redémarrer l'ordinateur, après le premier écran, juste au changement d'écran qui conduit au chargement de Windows, tapte sur F8.
Tu dois avoir un menu avec invites de commandes en mode sans échec.
une fois en invite, tape ces commandes à valider par entrée :
copy C:\Wdf01000.sys C:\Windows\System32\drivers\Wdf01000.sys
copy C:\Wdf01000.sys C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys
Si ça te dit accès refusé, laisse tomber.
Utilise alors le Live CD : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
et démarre dessus, tu auras une icone mon ordinateur, qui te permet de copier le fichier C:\Wdf01000.sys vers C:\Windows\System32\drivers\Wdf01000.sys en écrasant celui existant (malicieux).
Meme chose, copier C:\Wdf01000.sys vers C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Autant pour moi donc:
1 ligne exécutée OK: "1 fichier copié"
2ème ligne: "0 fichier copié" "accès refusé"
Je suppose qu'il me reste que le live CD.. Je relance le DL car tout à l'heure ça a remplis ma RAM et planté le PC (écran bleu), je vais donc recommencer...
Et je te tiens au courant dans la soirée, je fait un break là car ça ma soulé.
1 ligne exécutée OK: "1 fichier copié"
2ème ligne: "0 fichier copié" "accès refusé"
Je suppose qu'il me reste que le live CD.. Je relance le DL car tout à l'heure ça a remplis ma RAM et planté le PC (écran bleu), je vais donc recommencer...
Et je te tiens au courant dans la soirée, je fait un break là car ça ma soulé.
Bon rien ne va plus, je pense qu'on a fait une bêtise : j'écris "depuis" le live CD. Car mon PC veut plus booter sour mon Seven... et évidement la réparation qui se met en marche au démarrage ne répare rien.
J'avais bien copié le fichier que j'avais mis dans C: dans le dossier Windows\drivers puis est allé dans le bon dossier kernellibrary_blabla.. pour remplacer celui là aussi.
Mais le second était exactement comme celui que tu m'a filé de .sys. En le copiant dans le dossier drivers je pense qu'il s'est tout seul copié dans kernellibrary en même temps.
Autre chose: mon Wdf01000 fesait environs 400 Ko et datait de 2009 mais le tiens fait environ 700Ko et date de 2012.
Le problème c'est que j'ai pas de copie de mon original.
Mon pc est un ASUS G1S (pc portable) sous Windows 7 Pro édition integrale si jamais ya besoin.
Sinon est ce que je peut faire un restauration depuis le live CD? Et ce que ça servirait au moins à avoir le PC qui marche même infecté.?
Need backup please
J'avais bien copié le fichier que j'avais mis dans C: dans le dossier Windows\drivers puis est allé dans le bon dossier kernellibrary_blabla.. pour remplacer celui là aussi.
Mais le second était exactement comme celui que tu m'a filé de .sys. En le copiant dans le dossier drivers je pense qu'il s'est tout seul copié dans kernellibrary en même temps.
Autre chose: mon Wdf01000 fesait environs 400 Ko et datait de 2009 mais le tiens fait environ 700Ko et date de 2012.
Le problème c'est que j'ai pas de copie de mon original.
Mon pc est un ASUS G1S (pc portable) sous Windows 7 Pro édition integrale si jamais ya besoin.
Sinon est ce que je peut faire un restauration depuis le live CD? Et ce que ça servirait au moins à avoir le PC qui marche même infecté.?
Need backup please